PODMIENKY OCHRANY SÚKROMIA
Vážení občania,
v týchto podmienkach ochrany súkromia Vám chceme poskytnúť podrobné informácie o spracúvaní Vašich osobných údajov z našej strany. Tieto podmienky ochrany súkromia vysvetľujú transparentným a prehľadným spôsobom informácie podľa článku 13 a 14 GDPR Nariadenia Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej ako „GDPR“) príp. § 19 a 20 zákona č. 18/2018 Z.z. o ochrane osobných údajov (ďalej len „Zákon“).
Kto je prevádzkovateľom Vašich osobných údajov a kde sa na nás môžete obrátiť?
1. Prevádzkovateľom spracúvajúcim Vaše osobné údaje je Základná škola s materskou školou, Hargašova 5, Bratislava, so sídlom: Hargašova 5, 841 06 Bratislava, Slovenská republika, IČO: 036070998 (ďalej len ako „Prevádzkovateľ“ alebo „my“).
2. Ak máte akékoľvek otázky alebo pripomienky týkajúce sa problematiky ochrany osobných údajov, použite našu e-mailovú adresu jana.krettova@kreatim.sk alebo nám napíšte na vyššie uvedenú korešpondenčnú adresu.
3. S cieľom posilňovať záruky a právne garancie Vašich práv a slobôd pri spracúvaní Vašich osobných údajov mesto Zlaté Moravce, ktoré je našim zriaďovateľom, poverilo do funkcie aj zodpovednú osobu, ktorá dohliada na zákonnosť ich spracúvania, jej kontaktné údaje sú:
Mgr. Jana Krettová, jana.krettova@kreatim.sk .
Na aké účely spracúvame Vaše osobné údaje a na akom právnom základe?
4. Vaše osobné údaje spracúvame na nasledovné skupiny účelov:
Účel spracúvania osobných údajov
Primárny právny základ
1.
Personálne a mzdové účely
Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR)
2.
Kontrolné mechanizmy zamestnávateľa
Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR):
3.
Účtovné a daňové účely
Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR)
5.
Agenda práv dotknutých osôb
Plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR)
6
Agenda zabezpečenia hlavnej činnosti základnej školy
Článok 6 ods. 1 písm. c) GDPR pri plnení právnych povinností prevádzkovateľa Článok 6 ods. 1 písm. e) GDPR pri plnení dôležitých úloh vo verejnom záujme alebo pri výkone verejnej moci zverenej Prevádzkovateľovi
7.
Agenda internej bezpečnosti
Článok 6 ods. 1 písm. f) GDPR ochrana oprávnených záujmov prevádzkovateľa
8.
Preukazovanie, uplatňovanie a obhajovanie právnych nárokov (právna agenda)
Ochrana oprávnených záujmov (čl. 6 ods. 1 písm. f) GDPR)
9.
Agenda školskej jedálne
Článok 6 ods. 1 písm. c) GDPR pre splnenie zákonnej povinnosti prevádzkovateľa
Článok 9 ods. 2 písm. f) GDPR pre osobitné kategórie10
Agenda správy a mimosúdneho vymáhania pohľadávok
Článok 6 ods. 1 písm. f) GDPR ochrana oprávnených záujmov prevádzkovateľa
11
Vybavovanie sťažností
Splnenie zákonných povinností podľa § 13 ods. 1 písm. c) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
§ 16 ods. 2 písm. f) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov pre osobitné kategórie12
Agenda elektronickej schránky
Článok 6 ods. 1 písm. e) GDPR, pretože spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi
13
Prevádzkovanie profilov na sociálnych sieťach
Ochrana oprávnených záujmov podľa článku 6 ods. 1 písm. f) GDPR
14
Zasielanie marketingovej komunikácie (newsletter)
Súhlas podľa článku 6 ods. 1 písm. a) GDPR
15
Marketingové a PR účely
Ochrana oprávnených záujmov podľa článku 6 ods. 1 písm. f) GDPR
16
Agenda povinného sprístupňovania informácií a povinného zverejňovania zmlúv
Článok 6 ods. 1 písm. c) GDPR pri plnení právnych povinností prevádzkovateľa Článok 6 ods. 1 písm. e) GDPR pri plnení dôležitých úloh vo verejnom záujme alebo pri výkone verejnej moci zverenej Prevádzkovateľovi
17
Agenda verejného obstarávania a verejných obchodných súťaží
Článok 6 ods. 1 písm. c) GDPR pri plnení právnych povinností prevádzkovateľa
18
Plnenie zmlúv s fyzickými osobami
Zmluva podľa článku 6 ods. 1 písm. b) GDPR
19.
Archívne účely a správa registratúry
Článok 89 GDPR v spojitosti so zákonom č. 395/2002 Z. z. o archívoch a registratúrach, Článok 9 ods. 2 písm. j) GDPR pre osobitné kategórie osobných údajov
20.
Štatistické účely
Článok 89 GDPR Článok 9 ods. 2 písm. j) GDPR pre osobitné kategórie osobných údajov
Komu poskytujeme Vaše osobné údaje?
6. Pri spracúvaní Vašich osobných údajov využívame aj služby preverených a zmluvne zaviazaných externých obchodných partnerov, ktorí nám pomáhajú spracúvať a chrániť Vaše osobné údaje. Ide o tzv. sprostredkovateľov, ktorí pre naše potreby spracúvajú Vaše osobné údaje spravidla pri dodávaní služieb, ktoré sme si objednali.
7. Príjemcami osobných údajov dotknutých osôb sú rôzne okruhy subjektov, ktorým poskytujeme Vaše osobné údaje najčastejšie v rámci plnenia našich zákonných povinností a/alebo ide o našich vlastných zamestnancov, s ktorými prichádzate ako dotknuté osoby do styku. Nižšie nájdete zoznam kategórií príjemcov osobných údajov:
- Dodávatelia cloudových služieb, v rámci ktorých dochádza k spracúvaniu osobných údajov;
- Dodávatelia softvérového vybavenia a technickej podpory mesta;
- Konzultačné a poradenské spoločnosti;
- Poštoví doručovatelia a poštové podniky;
- Advokáti, exekútori, notári;
- Účtovníci, mzdové spoločnosti a audítori;
- Zamestnanci Prevádzkovateľa;
- Zamestnanci organizácie v zriaďovateľskej pôsobnosti Prevádzkovateľa s vlastnou pracovno-právnou subjektivitou;
- Zamestnanci mesta, ktorí sú príslušníkmi mestskej polície;
- Poslanci mestského zastupiteľstva;
- Primátor zvolený do funkcie;
- Zvolení členovia odborných komisií zriadených mestom;
- Externá správa účelových zariadení vo vlastníctve mesta s možnosťou ich ubytovania / prenájmu fyzickým osobám;
- Poskytovanie webhostingových služieb;
- Využívanie externých personálnych agentúr na vykonávanie výberu vhodných zamestnancov a/alebo na participáciu na výbere vhodných uchádzačov o zamestnanie;
- Externí správcovia registratúry / archivačné spoločnosti.
- Okrem príjemcov môžeme osobné údaje poskytovať aj tretím stranám, ktorými sú oprávnené orgány verejnej moci pri plnení ich zákonných úloha a povinností (napr. štátna školská inšpekcia a pod.).
Do akých krajín prenášame Vaše osobné údaje?
8. Štandardne (by default) obmedzujeme akékoľvek cezhraničné prenosy osobných údajov do tretích krajín mimo Európskeho hospodárskeho priestoru (EÚ, Island, Nórsko a Lichtenštajnsko), ak to nie je nevyhnutné. Avšak, niektorí naši sud-dodávatelia a vyššie uvedení príjemcovia osobných údajov môžu byť usadení alebo ich servre sa môžu nachádzať v Spojených štátoch amerických, ktoré – ako také – predstavujú tretiu krajinu, ktorá nezaručuje ochranu osobných údajov primeranú ochrane v EÚ. Avšak, spoločnosti, ktoré sa certifikovali v rámci tzv. EU-US Privacy Schield mechanizmu sú podľa rozhodnutia Komisie EÚ považované za poskytujúce primeranú ochranu osobných údajov ako v EÚ. Ak predsa len vykonávame prenos osobných údajov do tretích krajín, robíme tak len na základe rozhodnutia Komisie EÚ o primeranosti (ako napr. EU-US Privacy Schield) alebo vyžadujeme splnenie iných záruk na ochranu osobných údajov (napr. uzatvorenie tzv. zmluvných doložiek).
Dochádza k automatizovanému individuálne rozhodovaniu s právnym účinkom na Vás?
9. Nie, podľa našich najlepších vedomostí nedochádza v našich podmienkach k rozhodovaniu, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré by malo právne účinky, ktoré sa Vás týkali alebo by Vás podobne významne ovplyvňovali v zmysle čl. 22 GDPR.
Ako dlho uchovávame Vaše osobné údaje?
10. Vaše osobné údaje sú spracúvané najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Vaše osobné údaje najčastejšie prestávame spracúvať po:
- uplynutí úložných lehôt stanovených registratúrnym plánom pre registratúrne záznamy obsahujúce Vaše osobné údaje a po schválení vyraďovacieho konania;
- uplynutí maximálnej doby uchovávania Vašich osobných údajov spracúvaných na konkrétny účel, ktorú sme vymedzili v internej retenčnej politike, ktorou sa spravuje uchovávanie Vašich osobných údajov spracúvaných na konkrétne účely;
- úplnom vysporiadaní našich vzájomných zmluvných záväzkov;
- odvolaní Vášho súhlasu so spracúvaním osobných údajov.
11. Konkrétnejšie doby uchovávania osobných údajov vyplývajú z našej politiky uchovávania osobných údajov.
12. Akékoľvek náhodne získané osobné údaje v žiadnom prípade ďalej systematicky nespracúvame na žiadny účel vymedzený Prevádzkovateľom a/alebo ustanovený Prevádzkovateľovi zákonom. Ak je to možné informujeme dotknutú osobu, ktorej náhodne získané osobné údaje patria o ich náhodnom získaní a podľa povahy prípadu jej poskytneme potrebnú súčinnosť vedúcu k obnoveniu kontroly nad jej osobnými údajmi. Ihneď po týchto nevyhnutných úkonoch smerujúcich k vyriešeniu situácie všetky náhodne získané osobné údaje bezodkladne bezpečným spôsobom zlikvidujeme.
Ste povinní nám poskytnúť Vaše osobné údaje?
13. V prípade, ak je právnym základom pre spracúvanie Vašich osobných údajov súhlas so spracúvaním osobných údajov podľa článku 6 ods. 1 písm. a) GDPR nie ste nikdy povinný poskytnúť nám Vaše osobné údaje. Poskytnutie Vašich osobných údajov je založené na Vašej slobodnej úvahe a dobrovoľnom konaní. Udelený súhlas máte právo kedykoľvek odvolať. Neposkytnutie osobných údajov by nemalo mať žiadne negatívne a podstatné následky na Vašu osobu, ale môže sa znížiť komfort využívania niektorých služieb a Vaše informovanie o novinkách.
14. V prípade, ak je právnym základom pre spracúvanie Vašich osobných údajov uzatvorenie alebo plnenie zmluvného vzťahu podľa článku 6 ods. 1 písm. b) GDPR a odmietnete nám poskytnúť Vaše osobné údaje, môže to znamenať nemožnosť uzatvorenia zmluvného vzťahu alebo prípadne jeho plnenia. V týchto prípadoch je poskytnutie osobných údajov zmluvou
15. V prípade, ak je právnym základom pre spracúvanie Vašich osobných údajov plnenie našej zákonnej povinnosti podľa článku 6 ods. 1 písm. c) GDPR poskytnutie Vašich osobných údajov je povinné. Ak nám odmietnete poskytnúť Vaše osobné údaje môže to viesť k vzniku škody, ktorej náhradu si môžeme voči Vám uplatňovať (napr. ak by nám v príčinnej súvislosti s nesplnením našej povinnosti bola uložená sankcia). V niektorých z týchto prípadov Vaše osobné údaje získavame z verejne dostupných registrov a databáz zákonným spôsobom.
16. V prípade, ak ide o spracúvanie osobných údajov na účely plnenia povinností podľa zákona č. 307/2014 Z. z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti a o zmene a doplnení niektorých zákonov neposkytnutie osobných údajov oznamovateľa nemá za následok neprešetrenie anonymného podnetu. Dôsledkom podania anonymného podnetu je, že Vás nebudeme informovať o výsledku jeho prešetrenia.
17. V prípade, ak je právnym základom pre spracúvanie Vašich osobných splnenie dôležitej úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej Prevádzkovateľovi podľa článku 6 ods. 1 písm. e) GDPR poskytnutie Vašich osobných údajov je povinné. Neposkytnutie osobných údajov môže mať za následok, že Vám nebude poskytnutá služba zabezpečovaná v rámci pôsobnosti orgánov územnej samosprávy alebo nebude môcť byť vydané rozhodnutie, o ktoré nás žiadate, príp. môže byť inak zmarené splnenie dôležitej úlohy vo verejnom záujme. V niektorých z týchto prípadov Vaše osobné údaje získavame z verejne dostupných registrov a databáz zákonným spôsobom.
18. V prípade, ak je právnym základom pre spracúvanie Vašich osobných údajov prevaha našich oprávnených záujmov a využívame na spracúvanie Vašich osobných údajov právny základ podľa článku 6 ods. 1 písm. f) GDPR ste povinní toto spracúvanie strpieť, ale máte voči nemu právo podať námietku. Viac sa o tomto práve dozviete v osobitne zvýraznenej časti tohto dokumentu ako aj prostredníctvom doplnkových mechanizmov transparentnosti, ktoré môžeme používať pri našej prvej komunikácii a/alebo pri získavaní Vašich osobných údajov priamo od Vás.
Aké sú Vaše práva pri spracúvaní osobných údajov?
19. Záleží nám na ochrane Vašich osobných údajov, a preto sa usilujeme o ich silné zabezpečenie prostredníctvom individuálnych, moderných technických a organizačných bezpečnostných opatrení, ako aj prostredníctvom možnosti kedykoľvek uplatniť Vaše práva dotknutej osoby podľa GDPR prostredníctvom písomnej vlastnoručne podpísanej žiadosti, z ktorej bude zrejmé Vaša identita a právo, o ktorého výkon nás žiadate.
20. Žiadosti o výkon práva dotknutej osoby môžete posielať na kontaktné údaje uvedené v bodoch 1 až 3 vyššie. Týmto postupom nie je dotknuté Vaše právo odvolať udelený súhlas so spracúvaním osobných údajov, ktorý môžete vždy odvolať tak ľahko ako ste nám ho udelili (napr. ak ste súhlas udelili elektronicky, vždy ho môžete odvolať aj emailom alebo aplikáciou bez potreby zasielania písomnej žiadosti) alebo Vaše právo namietať automatizovanými prostriedkami s použitím technických špecifikácií, ak sú dostupné.
21. V prípade záujmu o informácie o dôvodoch na základe, ktorých prevažujú naše oprávnené záujmy nad Vašimi právami a slobodami pri spracúvaní Vašich osobných údajov na právnom základe podľa článku 6 ods. 1 písm. f) GDPR nás prosím kontaktujte prostredníctvom kontaktných údajov uvedených v úvodnej časti tohto dokumentu.
22. V prípade, ak považujete spracúvanie Vašich osobných údajov za nesprávne alebo neaktuálne môžete nás kedykoľvek kontaktovať prostredníctvom kontaktných údajov zverejnených na začiatku tohto dokumentu alebo môžete v určitých prípadoch použiť priamo funkcionality systémov, ak sú dostupné.
23. S účinnosťou od 25. mája 2018 budete mať k dispozícii nové práva, ktoré by Vám mali poskytnúť efektívnejšiu kontrolu a prehľad o spracúvaných osobných údajoch. Konkrétne ide o právo na prístup k údajom (článok 15 GDPR), právo na opravu (článok 16 GDPR), právo na vymazanie (článok 17 GDPR), právo na obmedzenie spracúvania (článok 18 GDPR), právo na prenosnosť údajov (článok 20 GDPR), právo namietať spracúvanie Vašich osobných údajov (článok 21 GDPR) a právo napadnúť rozhodnutie založené na automatizovanom individuálnom rozhodovaní, ktoré je spojené s právom vyjadriť k tomuto rozhodnutiu Vaše stanovisko a žiadať od Spoločnosti preskúmania takéhoto rozhodnutia s ľudským zásahom (článok 22 GDPR).
24. GDPR ustanovuje všeobecné podmienky výkonu Vašich jednotlivých práv. Ich existencia však automaticky neznamená, že pri uplatňovaní jednotlivých práv im bude z našej strany vyhovené nakoľko v konkrétnom prípade sa môžu uplatňovať aj výnimky resp. niektoré práva sú naviazané na konkrétne podmienky, ktoré nemusia byť v každom prípade splnené. Vašou žiadosťou týkajúcou sa konkrétneho práva sa budeme vždy zaoberať a skúmať z hľadiska právnej úpravy a uplatniteľných výnimiek. Ako dotknutá osoba máte tiež právo kedykoľvek podať sťažnosť na dozorný orgán, ktorým je Úrad na ochranu osobných údajov SR resp. podať návrh na začatie konania podľa § 100 Zákona. Viac informácií je možné nájsť na webovej stránke www.dataprotection.gov.sk.
25. Dovoľujeme si Vás upozorniť, že pri vybavovaní Vašej žiadosti o výkon práva dotknutej osoby podľa GDPR Vás môžeme požiadať o dôveryhodné overenie Vašej totožnosti, a to najmä v prípadoch, ak nás budete žiadať o výkon Vášho práva iným spôsobom ako písomným listom s Vašim vlastnoručným podpisom (napr. emailovou žiadosťou) alebo osobne.
26. Uplatnenie Vašich práv dotknutej osoby uvedených v tejto časti tohto dokumentu je možné si vopred dohodnúť aj na mestskom úrade, pričom však vždy vyžadujeme osobné overenie Vašej totožnosti prostredníctvom jej preukázania predložením dokladu Vašej totožnosti.
27. Ak o Vás spracúvame veľké množstvo informácií, máme právo požadovať, aby ste spresnili, ktorých informácií alebo spracovateľských činností sa žiadosť týka. Žiadame Vás preto – ak je to možné, aby Vaše žiadosti boli čo najviac podrobné, odkazovali na konkrétne účely a konkrétne práva, ktorých sa domáhate podľa GDPR resp. Zákona. Značne to urýchli vybavenie Vašej žiadosti.
28. Ak je Vaša žiadosť zjavne neopodstatnená alebo neprimeraná, najmä preto, že sa opakuje, sme oprávnení účtovať si primeraný administratívny poplatok, ktorý zohľadňuje administratívne náklady spojené s poskytnutím požadovaných informácií alebo odmietnuť konať. Pri opakovanej žiadosti o poskytnutie kópií spracúvaných osobných údajov si vyhradzujeme právo účtovať z tohto dôvodu primeraný poplatok za administratívne náklady. Proces vybavenia Vašej žiadosti spojenej s výkonom Vášho práva dotknutej osoby podľa GDPR je bezplatný.
29. „Máte právo kedykoľvek účinne namietať proti spracúvaniu osobných údajov na účely priameho marketingu vrátane profilovania. Takisto máte právo namietať aj voči spracúvaniu Vašich osobných údajov na základe oprávnených záujmov alebo na základe verejného záujmu.“
V prípade uplatnenia námietky voči spracúvaniu Vašich osobných údajov na marketingové účely zabezpečíme obmedzenie tohto spracúvania na tieto účely. V prípade uplatnenia tohto práva Vám radi preukážeme spôsob, ktorým sme vyhodnotili tieto oprávnené alebo verejné záujmy ako legitímne a prevažujúce.
Zmena podmienok ochrany súkromia
30. Ochrana osobných údajov pre nás nie je jednorazovou záležitosťou. Informácie, ktoré sme Vám povinní vzhľadom na naše spracúvanie osobných údajov poskytnúť sa môžu meniť alebo prestať byť aktuálne. Z tohto dôvodu si vyhradzujeme možnosť kedykoľvek tieto podmienky upraviť a zmeniť v akomkoľvek rozsahu. V prípade, sa zmeníme tieto podmienky podstatným spôsobom, túto zmenu Vám dáme do pozornosti napr. všeobecným oznámením na tejto webstránke alebo osobitným oznámením prostredníctvom emailu.
31. Tieto podmienky ochrany súkromia sú platné a účinné od 25. mája 2018.